Il "Triplicate" è un macro virus multi-piattaforma, che infetta
alcuni componenti della suite Office97: documenti Word,
presentazioni PowerPoint e fogli Excel. Il virus non manifesta se
stesso in alcun modo e non possiede effetti distruttivi per i dati.
Questo è il primo macro virus conosciuto capace di infettare i
documenti di tre diverse applicazioni di Office97.
Il virus disabilita la protezione antivirus di Excel e di
PowerPoint modificando tutte le possibili chiavi di riferimento (nei
rami Current_User, Local_Machine e Users) presenti all'interno del
Registro di sistema. Per tale scopo il virus usa delle normali
istruzioni in Visual Basic for Applications (VBA).
Il virus presenta 3 procedure VBA5 in tutti i file infettati
(documenti Excel, Word e PowerPoint): la procedura "DocumentClose()"
per Word, "Workbook_Deactivate()" per Excel e "actionhook()" per
PowerPoint. Le routine di infezione del virus sono separate in tre
diversi sottoinsiemi. Ogni sottoinsieme è attivato a seconda del
tipo di applicazione Office in cui viene letto il documento
infettato.
Di questo virus esistono almeno quattro versioni conosciute. Due
di loro contengono soltanto delle correzioni a degli errori presenti
nella prima versione del virus, ma la terza possiede alcune nuove e
importanti caratteristiche. Quest'ultima versione del virus usa una
falla nella sicurezza di Word97 per infettare dei computer remoti
attraverso Internet. Un apposito documento Word è stato messo in un
sito hacker sul World Wide Web. Quando questo documento viene
prelevato e aperto da Word, l'applicativo viene forzato a prelevare
e caricare in memoria un modello infetto presente sul sito hacker.
In questo caso, la protezione anti-macro di Word97 non viene
attivata, l'utente non riceve alcun messaggio riguardante la
presenza delle macro nel modello e queste vengono eseguite
infettando il sistema.
Il virus contiene dei commenti:
"Triplilcate.a":
<!--1nternal-->
Triplicate v0.1 /1nternal
"Triplilcate.b":
<!--1nternal-->
Triplicate v0.11 /1nternal
"Triplilcate.c":
<!--1nternal-->
Triplicate v0.2 /1nternal
"Triplilcate.d":
<!--1nternal-->
Triplicate v0.21 /1nternal
Infezione attraverso i
documenti Word
Quando il virus viene attivato attraverso la lettura di un
documento Word, prima di tutto disabilita la protezione anti-macro
di Word e controlla il modello generale NORMAL.DOT per stabilire se
è già stato infettato. In caso negativo, il virus comincia ad
infettare altri componenti di Office97. Tale operazione si svolge in
tre fasi: infezione di Word, di Excel e di PowerPoint.
- L'infezione di Word rappresenta l'operazione più semplice
eseguita dal virus, quest'ultimo infatti si limita a copiare il
proprio codice all'interno del modello generale (NORMAL.DOT).
- L'infezione di Excel è più complessa. In primo luogo, il virus
esegue una nuova istanza di Excel usando la funzione
CreateObject("Excel.Application"). Quindi il virus controlla la
presenza del file BOOK1 nella cartella di startup di Excel. Se il
file è assente, il virus infetta Excel. Durante quest'operazione
il virus disabilita la protezione anti-macro di Excel, crea un
nuovo WorkBook copiando in esso il proprio codice e salva il file
con il nome BOOK1 nella cartella di startup di Excel. Ogni foglio
elettronico che si trova all'interno di questa cartella viene
caricato automaticamente da Excel al momento del suo avvio, quindi
l'ambiente di Excel verrà infettato alla prossima esecuzione
dell'applicativo.
- L'infezione di PowerPoint è abbastanza simile a quella di
Excel: il virus crea una nuova istanza di PowerPoint, controlla
l'esistenza del file 'Blank Presentation.pot' nella cartella dei
modelli di PowerPoint e all'interno del file di presentazione
tenta di localizzare il modulo "Triplicate". Se questo modulo
risulta assente, il virus infetta PowerPoint: disabilita la
protezione antivirus nel Registro di sistema, crea il modulo
"Triplicate" nel file 'Blank Presentation.pot' e copia in esso il
proprio codice. Quindi, crea un nuova forma nella presentazione,
con l'altezza e la larghezza di una normale diapositiva, e imposta
la procedura di attivazione per la forma ad "actionhook()" (tale
procedura verrà attivata quando l'utente fa clic con il mouse
sulla forma).
Infine, il virus infetta il documento Word corrente. Questa
particolare routine di infezione viene eseguita soltanto nel caso in
cui il virus sia stato caricato da un modello infetto ed un nuovo
documento non ancora infetto viene chiuso dall'utente.
Infezione attraverso fogli
elettronici e presentazioni
Le procedure di infezione di Excel e PowerPoint sono quasi del
tutto uguali ad eccezione di alcuni, piccoli dettagli.
Il file BOOK1 nella cartella di startup di Excel viene usato dal
virus come indicatore dell'infezione di Office. Dunque, quando viene
eseguito da un foglio elettronico infetto, la prima operazione
svolta da virus consiste nel controllare la presenza del file BOOK1;
se questo non esiste il virus comincerà ad infettare le applicazioni
Office, partendo da Word.
- Il virus crea l'oggetto Word.Application. Per compiere tale
operazione, il virus non usa la funzione CreateObject(), ma la
GetObject(). Quest'ultima funzione ritorna un oggetto creato a
partire dall'istanza corrente di Word (non ne esegue una seconda).
Per infettare il modello NORMAL.DOT il virus ha la necessità di
accedere ad esso in scrittura, e questo non è possibile se il
modello è già stato aperto da una precedente istanza di Word. Se
invece Word non risulta tra i processi attivi, allora il virus ne
crea una prima istanza.
- Una volta ottenuto l'oggetto dell'applicazione Word, il virus
esegue la sua routine di infezione. Il virus cancella tutto il
codice presente nel modello NORMAL.DOT e crea la procedura
'DisableAV()' - dove viene copiato una pezzo di codice virale -
che viene eseguita e poi cancellata subito dopo. Questa breve
procedura, costituita da sole otto linee di codice, ha il compito
di disabilitare la protezione antivirus di Excel e PowerPoint.
Quindi il virus copia il suo codice dal file infetto al modello
generale, completando così l'infezione di Word.
- In questa fase vengono infettate le applicazioni Excel e
PowerPoint. Il virus infetta la cartella di startup di Excel
partendo da una presentazione di PowerPoint, o inserisce il suo
codice nel modello di PowerPoint, come descritto sopra (esecuzione
del virus da un documento Word infetto).
La procedura di attivazione in PowerPoint possiede un'ulteriore
caratteristica: il virus esegue la procedura di infezione a seconda
del valore assunto da un contatore casuale. L'infezione viene
attivata con una probabilità su sette.
|